NIS2-Leitfaden

NIS2-Leitfaden · 6 Min.

NIS2-Umsetzungsstand: in welchen EU-Ländern es in Kraft ist

NIS2 ist eine EU-Richtlinie, das heißt jeder Mitgliedstaat muss sie in nationales Recht überführen, bevor sie greift. Die Umsetzungsfrist war der 17. Oktober 2024. Sie verstrich, während die meisten Länder noch im Entwurf waren, und seither holen sie in sehr unterschiedlichem Tempo auf. Diese Seite verfolgt den Stand jedes der 27 Mitgliedstaaten und warum die Lücken Sie betreffen, selbst wenn Ihr eigenes Land in Verzug ist.

Wichtigste Erkenntnisse

  • NIS2 musste bis zum 17. Oktober 2024 in nationales Recht überführt sein; viele Mitgliedstaaten verfehlten dies.
  • Die Pflicht erreicht Sie über Ihre Kunden, nicht nur über das Recht Ihres eigenen Landes.
  • Der Stand ändert sich laufend: stets gegen die offiziellen EU- und nationalen Quellen bestätigen.

Wo die 27 Mitgliedstaaten stehen

20 von 27

nationales Gesetz in Kraft

7 von 27

Umsetzung läuft

Warum der Flickenteppich Sie dennoch erreicht

Es ist verlockend, sich zurückzulehnen, wenn das eigene Land sein Gesetz noch nicht fertig hat. Das ist die falsche Lesart. Die Lieferkettenpflicht von NIS2 (Artikel 21 Absatz 2 Buchstabe d) wird vertraglich weitergegeben: Ist auch nur einer Ihrer Kunden in einem Mitgliedstaat niedergelassen, in dem das Gesetz bereits gilt, muss dieser Ihre Sicherheit bewerten und laufend bewerten, unabhängig davon, wo Sie sitzen. In der Praxis geben die früh umsetzenden Länder das Tempo für alle vor, die dorthin verkaufen.

Stand nach Land

Jedes Land verlinkt auf seine eigene Seite: zuständige Behörde, nationales CSIRT, nationales Gesetz und wichtige Termine.

In Kraft (20)

Läuft (7)

Wie wir das aktuell halten

Die nationale Umsetzung ist ein bewegliches Ziel. Wir prüfen jedes Land gegen die offizielle nationale Behörde und den Umsetzungs-Tracker der Europäischen Kommission und datieren jeden Eintrag, damit Sie seine Aktualität sehen. Für die tagesaktuellen Länderdetails nutzen Sie die Länderseiten oben oder direkt den Tracker der Kommission.

Umsetzungs-Tracker der Europäischen Kommission

Lieferantenüberwachung auf NIS2-Niveau ansehen

Ein Musterbericht (Befunde, NIS2-Zuordnung und Nachweise) in zwei Minuten.

7 Tage kostenlos · keine Kreditkarte · jederzeit kündbar

Verwandte Leitfäden

Wie Sie NIS2 erfüllen: ein Schritt-für-Schritt-Fahrplan

Die Schritte zur NIS2-Konformität in der richtigen Reihenfolge: Anwendungsbereich bestätigen, registrieren, Verantwortung der Leitung (Art. 20), die Maßnahmen nach Art. 21 Abs. 2, Lieferkettensicherheit, Vorfallmeldung (Art. 23) und fortlaufende, nachgewiesene Absicherung.

Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen

Stellen Sie fest, ob NIS2 für Sie gilt: die zwei Kategorien, die Sektoren aus Anhang I/II, die Größenschwellen, größenunabhängige Ausnahmen und wie die Lieferkette Sie auch ohne Benennung erfasst.

NIS2 für Lieferanten: Sie sind nicht eingestuft, aber Ihre Kunden

Die meisten Unternehmen werden nie unter NIS2 eingestuft, müssen aber dennoch konform sein. Wie die Lieferkettenpflicht eines erfassten Kunden nach Artikel 21 Absatz 2 Buchstabe d auf Sie übergeht, was er verlangt und wie Sie glaubwürdig reagieren.

NIS2 und die Lieferkettenpflicht: was das in der Praxis bedeutet

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung ihrer Lieferkettenrisiken. Lieferanten-Tiering, 4th-Party-Risiken, Art. 23-Meldepflicht und worauf Prüfer achten.

Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft

Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.

NIS2 Art. 21(2): Sicherheits-Checkliste für Lieferanten

Checkliste für Beschaffungs- und Sicherheitsteams: Was zu fragen ist, welche Nachweise zu sammeln sind und wie zu reagieren ist, wenn ein Lieferant Anforderungen nicht erfüllt. Mit empfohlenen Nachweisdokumenten.

NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage

Was Lieferanten nach Art. 21(2)(d) zu fragen ist, wie man Antworten bewertet und auf Lücken reagiert, warum Selbstauskunft Überprüfung braucht, plus eine kostenlose Vorlage.

NIS2-Vorfallmeldung: die 24- und 72-Stunden-Fristen erklärt

Was ein erheblicher Vorfall ist, der Zeitplan nach Artikel 23 (24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht nach einem Monat) und wann der Vorfall eines Lieferanten zu Ihrer Pflicht wird.

NIS2 und die Verantwortung der Leitung: Was Vorstand und Geschäftsführung wissen müssen

Was NIS2 vom Leitungsorgan erwartet: Genehmigungs- und Aufsichtspflichten, persönliche Haftung (Art. 20), Schulung, Vorstands-KPIs und die Sanktionen nach Art. 34.

ISO 27001 und NIS2: Was Ihr ISMS bereits abdeckt, und die Lücken, die bleiben

Wenn Sie ISO 27001 halten: was auf NIS2 übertragbar ist und was nicht (gesetzliche Vorfallmeldung, Haftung der Leitung, Registrierung und kontinuierliche Lieferkettensicherung) und wie Sie die Lücke schließen.

NIS2-Bußgelder und Sanktionen: wie hoch, wer haftet und wie man sie vermeidet

Was NIS2-Sanktionen sind: die Obergrenzen nach Artikel 34 (10 Mio. € / 2 % für wesentliche, 7 Mio. € / 1,4 % für wichtige Einrichtungen), die persönliche Haftung der Leitung (Art. 20, Art. 32), nicht-monetäre Durchsetzung und wie man sie vermeidet.

NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt

Wie sich die zwei EU-Regime unterscheiden und überschneiden, warum DORA Lex specialis für Finanzunternehmen ist, was für Sie gilt und was beide für Drittparteienrisiko bedeuten.

DSGVO vs. NIS2: Überschneidungen, Unterschiede und wann ein Vorfall beide auslöst

Wie sich DSGVO und NIS2 unterscheiden und überschneiden, wann ein Vorfall beide auslöst (DSGVO Art. 33 72 h an die Datenschutzbehörde vs. NIS2 Art. 23 24 h/72 h/ein Monat an das CSIRT), die Art.-35-Kooperation und das Verbot des doppelten Bußgelds, und was beide für die Lieferanten-Sorgfaltsprüfung bedeuten.

Der EU Cyber Resilience Act (CRA): Anwendungsbereich, Zeitplan und was er für Ihre Lieferkette bedeutet

Was der CRA verlangt, seine gestaffelten Termine (in Kraft 2024, Meldung Sep. 2026, volle Konformität Dez. 2027), wer in den Anwendungsbereich fällt und warum reine SaaS oft nicht, wie er NIS2 ergänzt und was er für Beschaffung und Lieferanten-Sorgfaltsprüfung bedeutet.

Die EU-KI-Verordnung: Risikostufen, Zeitplan und die Pflichten der Betreiber (Artikel 26)

Was die EU-KI-Verordnung verlangt: die Risikostufen, die gestaffelten Termine (in Kraft 2024, verboten Feb. 2025, GPAI Aug. 2025, Hochrisiko Aug. 2026), die Betreiberpflichten nach Art. 26, wie sie sich mit NIS2 und der DSGVO stapelt und was sie für die KI-Beschaffung bedeutet.

NIS2-Lieferantenvertragsklauseln: was Sie von Ihren Lieferanten verlangen sollten

Die Vertragsklauseln, die die Lieferkettenpflicht von NIS2 durchsetzbar machen: Sicherheitsbasis, Meldefenster, Nachweis- und Auditrechte, Weitergabe an Subunternehmer und laufende Überprüfung.

Zuletzt geprüft: 19. Juni 2026

Dieser Leitfaden bietet allgemeine Informationen zum EU-Recht, keine Rechtsberatung. NIS2 wird durch das nationale Umsetzungsgesetz jedes EU-Mitgliedstaats wirksam, das im Detail abweichen kann. Prüfen Sie die für Sie geltenden Pflichten mit Ihrer zuständigen Behörde oder Ihrem Rechtsbeistand.